在最近一个聚会上雷锋网记者了解到这样一个趣事:有一(bu)朋(ren)友(shi),去年发现他在Facebook上可以删除任何人的照片,于是报告给了Facebook有关部门,然有关部门回复说,这个是无效的bug (invalid report)。于是,该程序猿回家后就清空了扎克伯格的照片集,然后有关部门通知他说,你这个是有效bug,可以来领奖金了。
#1 Facebook bug bounty
Facebook 在2014年共收到17011个bug报告,共颁发了130万美金给全球65个国家的321名提交者,其中61个bug被认为高危漏洞。Facebook 对每一个有效bug的最低赏金是500美元,并根据bug的危险程度增加奖励金额。2014年的获得奖金最多的5个人,共拿走了近26万美金 ($256,750)。
#2 Google Bughunter University
Google Bughunter University(谷歌找茬大学)给出了详细的找bug分级指导和相应的赏金,如下图。有效bug奖励100美元至2万美元不等,危险性越高的bug获得的赏金越多。从图中可以看出,谷歌重点鼓励的还是技术含量高的可以从远程成功实施的对谷歌账户和应用的攻击,赏金为2万美元/bug。
下图是2014年全球提交的bug统计。虽然有很多提交者打了酱油(绿色部分),但高危的漏洞也不少:
这是各级别的奖励总额统计图,纵轴是奖励级别,横轴是金额:
虽然Google没有公布总共发了多少钱出去,不过从上图来看,似乎拿到1万和2万美元奖金的人不多啊,是因为Google觉得自己的Bug比Facebook少吗?不知道前几天发生的“谷歌一不小心把Google.com域名给卖了,售价为12美元”这个Bug的发现者能获得多少奖金......
